Microsoft avertit d’une nouvelle faille ciblant Internet Explorer

Microsoft a demandé mardi dernier aux utilisateurs Windows d’installer un logiciel de sécurité gratuit pour protéger leurs ordinateurs d’un nouvel exploit «jour 0» (il s’agit en effet d’une vulnérabilité méconnue du public apte à générer des logiciels malveillants qui pourraient, à leur tour, se reproduire sur d’autres ordinateurs) dans son navigateur Internet Explorer que les pirates informatiques exploitent déjà pour des fins visant à contrôler les ordinateurs à distance.

« Nous sommes conscients des attaques ciblées qui affectent potentiellement certaines versions d’Internet Explorer », a affirmé Microsoft dans une déclaration.

Le bug a été repéré sur IE 7, 8 et 9, et peut être exploité dans des ordinateurs sous Windows XP, Vista ou Windows 7, selon la société de sécurité Rapid7.

Avec des millions d’utilisateurs qui manipulent Internet Explorer 7 sur ces plateformes, Microsoft a pris l’initiative d’offrir un logiciel de sécurité gratuit sur son site officiel (the Enhanced Mitigation Experience Toolkit, EMET : http://www.microsoft.com/en-us/download/details.aspx?id=29851). En même temps, la firme travaille sur une mise à jour pour fortifier son logiciel.

Eric Romang, un chercheur au Luxembourg, a découvert la faille vendredi dernier lorsque son ordinateur a été infecté suite à un logiciel malveillant connu sous le nom Poison Ivy que les pirates utilisent pour voler des données ou prendre le contrôle des ordinateurs.

Les failles « jour 0 » sont rares, souvent parce qu’elles sont difficiles à identifier. Elles requièrent des ingénieurs de logiciel hautement qualifiés ou des pirates ayant assez de temps pour parcourir le code afin de trouver des failles exploitables, et ainsi lancer des attaques.